Type de ressource signIn
Espace de noms: microsoft.graph
Importante
Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .
Détaille l’activité de connexion des utilisateurs ou des applications dans votre répertoire. Vous devez disposer d’une licence Microsoft Entra ID P1 ou P2 pour télécharger les journaux de connexion à l’aide du API Graph Microsoft.
Les stratégies de conservation des données Microsoft Entra régissent la disponibilité des journaux de connexion.
Remarque
Cette API retourne uniquement les connexions interactives, sauf si vous définissez un filtre explicite. Par exemple, le filtre pour obtenir des connexions non interactives est https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=signInEventTypes/any(t: t eq 'nonInteractiveUser').
Méthodes
| Méthode | Type renvoyé | Description |
|---|---|---|
| List | signIn | Lit les propriétés et les relations des objets signIn. |
| Obtenir | signIn | Lit les propriétés et les relations d’un objet signIn. |
| Confirmer la compromission | Aucun | Marquez un événement dans les journaux de connexion Microsoft Entra comme risqué. |
| Confirmer la sécurité | Aucun | marquer un événement dans Microsoft Entra journaux de connexion comme étant sécurisé. |
Propriétés
| Propriété | Type | Description |
|---|---|---|
| appDisplayName | String | Nom de l’application affiché dans le centre d’administration Microsoft Entra. Prend en charge $filter (eq, startsWith). |
| appId | String | Identificateur d’application dans Microsoft Entra ID. Prend en charge $filter (eq). |
| appliedConditionalAccessPolicies | collection appliedConditionalAccessPolicy | Liste des stratégies d’accès conditionnel déclenchées par l’activité de connexion correspondante. Les applications ont besoin de plus de privilèges liés à l’accès conditionnel pour lire les détails de cette propriété. Pour plus d’informations, consultez Autorisations d’affichage des stratégies d’accès conditionnel appliquées dans les connexions. |
| appliedEventListeners | collection appliedAuthenticationEventListener | Informations détaillées sur les écouteurs, tels qu’Azure Logic Apps et Azure Functions, sur lesquels les événements correspondants dans l’événement de connexion ont déclenché. |
| appTokenProtectionStatus | tokenProtectionStatus | La protection des jetons crée une liaison sécurisée du point de vue du chiffrement entre le jeton et l’appareil pour lequel il est émis. Ce champ indique si le jeton d’application était lié à l’appareil. |
| authenticationAppDeviceDetails | authenticationAppDeviceDetails | Fournit des détails sur l’application et l’appareil utilisés lors d’une étape d’authentification Microsoft Entra. |
| authenticationAppPolicyEvaluationDetails | collection authenticationAppPolicyDetails | Fournit des détails sur les stratégies Microsoft Entra appliquées à une application d’authentification utilisateur et cliente pendant une étape d’authentification. |
| authenticationContextClassReferences | collection authenticationContext | Contient une collection de valeurs qui représentent les contextes d’authentification d’accès conditionnel appliqués à la connexion. |
| authenticationDetails | collection authenticationDetail | Résultat de la tentative d’authentification et plus de détails sur la méthode d’authentification. |
| authenticationMethodsUsed | String collection | Méthodes d’authentification utilisées. Valeurs possibles : SMS, Authenticator App, App Verification code, PasswordFIDO, PTA, ou PHS. |
| authenticationProcessingDetails | Collection keyValue | Plus de détails de traitement de l’authentification, tels que le nom de l’agent pour PTA et PHS, ou un nom de serveur ou de batterie pour l’authentification fédérée. |
| authenticationProtocol | protocolType | Listes le type de protocole ou le type d’octroi utilisé dans l’authentification. Les valeurs possibles sont , none, oAuth2, ropcwsFederation, saml20, deviceCode, unknownFutureValue, , authenticationTransfer, , nativeAuth. Utilisez none pour toutes les authentifications qui n’ont pas de valeur spécifique dans cette liste. Vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir les valeurs suivantes dans cette énumération évolutive : authenticationTransfer, nativeAuth. |
| authenticationRequirement | String | Cela permet d’obtenir le niveau d’authentification le plus élevé nécessaire à toutes les étapes de connexion, pour que la connexion réussisse. Prend en charge $filter (eq, startsWith). |
| authenticationRequirementPolicies | collection authenticationRequirementPolicy | Sources d’exigence d’authentification, telles que l’accès conditionnel, l’authentification multifacteur par utilisateur, la protection des identités et les paramètres de sécurité par défaut. |
| autonomousSystemNumber | Int32 | Numéro de système autonome (ASN) du réseau utilisé par l’acteur. |
| azureResourceId | String | Contient un ID de Resource Manager Azure complet d’une ressource Azure accessible pendant la connexion. |
| clientAppUsed | String | Client hérité utilisé pour l’activité de connexion. Par exemple : Browser, , Modern clientsExchange ActiveSync, IMAP, MAPI, SMTPou POP. Prend en charge $filter (eq). |
| clientCredentialType | clientCredentialType | Décrit le type d’informations d’identification qu’un client utilisateur ou un principal de service a fourni à Microsoft Entra ID pour s’authentifier. Vous pouvez examiner cette propriété pour suivre et éliminer les types d’informations d’identification moins sécurisés ou pour watch pour les clients et les principaux de service à l’aide de types d’informations d’identification anormaux. Les valeurs possibles sont none, clientSecret, clientAssertion, federatedIdentityCredential, managedIdentity, certificate, unknownFutureValue. |
| conditionalAccessAudiences | String | Liste qui indique l’audience évaluée par l’accès conditionnel lors d’un événement de connexion. Prend en charge $filter (eq). |
| conditionalAccessStatus | conditionalAccessStatus | Status de la stratégie d’accès conditionnel déclenchée. Valeurs possibles : success, failure, notAppliedou unknownFutureValue. Prend en charge $filter (eq). |
| correlationId | String | Identificateur que le client envoie quand la connexion est lancée. Cette propriété est utilisée pour résoudre les problèmes liés à l’activité de connexion correspondante lors de l’appel au support technique. Prend en charge $filter (eq). |
| createdDateTime | DateTimeOffset | Date et heure de démarrage de la connexion. Le type d’horodatage est toujours au format UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z. Prend en charge $orderby, $filter (eq, leet ge). |
| crossTenantAccessType | signInAccessType | Décrit le type d’accès interlocataire utilisé par l’acteur pour accéder à la ressource. Les valeurs possibles sont les suivantes : none, b2bCollaboration, b2bDirectConnect, microsoftSupport, serviceProvider, unknownFutureValue et passthrough. En outre, vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir la ou les valeurs suivantes dans cette énumération évolutive : passthrough. Si la connexion n’a pas franchi les limites du locataire, la valeur est none. |
| deviceDetail | deviceDetail | Informations sur l’appareil à partir de laquelle la connexion s’est produite. Inclut des informations telles que deviceId, système d’exploitation et navigateur. Prend en charge $filter (eq, startsWith) sur les propriétés browser et operatingSystem . |
| federatedCredentialId | String | Contient l’identificateur des informations d’identification d’identité fédérée d’une application, si des informations d’identification d’identité fédérée ont été utilisées pour la connexion. |
| indicateurForReview | Boolean | Lors d’une connexion ayant échoué, un utilisateur peut sélectionner un bouton dans le Portail Azure pour marquer l’événement ayant échoué pour les administrateurs de locataire. Si un utilisateur sélectionne le bouton pour marquer l’échec de la connexion, cette valeur est true. |
| globalSecureAccessIpAddress | String | Adresse IP globale d’accès sécurisé à partir de laquelle la connexion a été lancée. |
| homeTenantId | String | Identificateur de locataire de l’utilisateur qui lance la connexion. Non applicable dans identité managée ou connexions de principal de service. |
| homeTenantName | String | Pour les connexions utilisateur, identificateur du locataire dont l’utilisateur est membre. Renseigné uniquement dans les cas où le locataire d’origine fournit un consentement positif pour Microsoft Entra ID d’afficher le contenu du locataire. |
| id | String | Identificateur représentant l’activité de connexion. Hérité de l’entité. Prend en charge $filter (eq). |
| incomingTokenType | incomingTokenType | Indique les types de jetons qui ont été présentés à Microsoft Entra ID pour authentifier l’acteur dans la connexion. Les valeurs possibles sont none, primaryRefreshToken, saml11, saml20, unknownFutureValue, remoteDesktopToken, refreshToken. REMARQUE Microsoft Entra ID avez peut-être également utilisé des types de jetons non répertoriés dans ce type d’énumération pour authentifier l’acteur. Ne déduitz pas l’absence d’un jeton s’il ne s’agit pas de l’un des types répertoriés. En outre, vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir la ou les valeurs suivantes dans cette énumération évolutive : remoteDesktopToken, refreshToken. |
| ipAddress | String | Adresse IP du client à partir duquel la connexion s’est produite. Prend en charge $filter (eq, startsWith). |
| ipAddressFromResourceProvider | String | Adresse IP utilisée par un utilisateur pour atteindre un fournisseur de ressources, utilisée pour déterminer la conformité de l’accès conditionnel pour certaines stratégies. Par exemple, lorsqu’un utilisateur interagit avec Exchange Online, l’adresse IP que Microsoft Exchange reçoit de l’utilisateur peut être enregistrée ici. Cette valeur est souvent null. |
| isInteractive | Boolean | Indique si une connexion utilisateur est interactive. Dans la connexion interactive, l’utilisateur fournit un facteur d’authentification pour Microsoft Entra ID. Ces facteurs incluent les mots de passe, les réponses aux défis de l’authentification multifacteur, les facteurs biométriques ou les codes QR qu’un utilisateur fournit à Microsoft Entra ID ou à une application associée. Dans la connexion non interactive, l’utilisateur ne fournit pas de facteur d’authentification. Au lieu de cela, l’application cliente utilise un jeton ou un code pour authentifier ou accéder à une ressource pour le compte d’un utilisateur. Les connexions non interactives sont couramment utilisées pour qu’un client se connecte pour le compte d’un utilisateur dans un processus transparent pour l’utilisateur. |
| isTenantRestricted | Boolean | Indique si l’événement de connexion a été soumis à une stratégie de restriction de locataire Microsoft Entra. |
| isThroughGlobalSecureAccess | Boolean | Indique si un utilisateur est passé par le service Global Secure Access. |
| location | signInLocation | Code de la ville, de l’État et du pays à deux lettres à partir duquel la connexion s’est produite. Prend en charge $filter (eq, startsWith) sur les propriétés city, state et countryOrRegion . |
| managedServiceIdentity | managedIdentity | Contient des informations sur l’identité managée utilisée pour la connexion, notamment son type, l’ID de ressource Azure Resource Manager (ARM) associé et les informations de jeton fédéré. |
| networkLocationDetails | Collection networkLocationDetail | Détails de l’emplacement réseau, y compris le type de réseau utilisé et ses noms. |
| originalRequestId | String | Identificateur de la première requête dans la séquence d’authentification. Prend en charge $filter (eq). |
| originalTransferMethod | originalTransferMethods | Méthode de transfert utilisée pour lancer une session dans toutes les requêtes suivantes. Les valeurs possibles sont : none, deviceCodeFlow, authenticationTransfer, unknownFutureValue. |
| privateLinkDetails | privateLinkDetails | Contient des informations sur la stratégie Microsoft Entra Private Link associée à l’événement de connexion. |
| processingTimeInMilliseconds | Int | Temps de traitement de la demande en millisecondes dans AD STS. |
| resourceDisplayName | String | Nom de la ressource à laquelle l’utilisateur s’est connecté. Prend en charge $filter (eq). |
| resourceId | String | Identificateur de la ressource à laquelle l’utilisateur s’est connecté. Prend en charge $filter (eq). |
| resourceServicePrincipalId | String | Identificateur du principal de service représentant la ressource cible dans l'événement de connexion. |
| resourceTenantId | String | Identificateur de locataire de la ressource référencée dans la connexion. |
| riskDetail | riskDetail | Raison d’un état spécifique d’un utilisateur à risque, d’une connexion ou d’un événement à risque. Les valeurs possibles sont none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafeuserPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised, m365DAdminDismissedDetectionadminConfirmedServicePrincipalCompromisedunknownFutureValueadminDismissedAllRiskForServicePrincipal, userChangedPasswordOnPremises, , . adminConfirmedAccountSafeadminDismissedRiskForSignIn Vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir la ou les valeurs suivantes dans cette énumération évolutive : adminConfirmedServicePrincipalCompromised, adminDismissedAllRiskForServicePrincipal, m365DAdminDismissedDetection, adminConfirmedAccountSafeuserChangedPasswordOnPremisesadminDismissedRiskForSignIn. La valeur none signifie que Microsoft Entra détection des risques n’a pas marqué l’utilisateur ou la connexion comme un événement à risque jusqu’à présent. Prend en charge $filter (eq).Note: Les détails de cette propriété sont disponibles uniquement pour les clients Microsoft Entra ID P2. Tous les autres clients sont retournés hidden. |
| riskEventTypes_v2 | String collection | Liste des types d’événements à risque associés à la connexion. Valeurs possibles : unlikelyTravel, anonymizedIPAddress, maliciousIPAddress, unfamiliarFeatures, malwareInfectedIPAddress, suspiciousIPAddressleakedCredentials, investigationsThreatIntelligencegeneric, ou unknownFutureValue. Prend en charge $filter (eq, startsWith). |
| riskLevelAggregated | riskLevel | Niveau de risque agrégé. Valeurs possibles : none, low, medium, highhidden, ou unknownFutureValue. La valeur hidden signifie que l’utilisateur ou la connexion n’a pas été activé pour Protection Microsoft Entra ID. Prend en charge $filter (eq). Note: Les détails de cette propriété sont disponibles uniquement pour les clients Microsoft Entra ID P2. Tous les autres clients sont retournés hidden. |
| riskLevelDuringSignIn | riskLevel | Niveau de risque pendant la connexion. Valeurs possibles : none, low, medium, highhidden, ou unknownFutureValue. La valeur hidden signifie que l’utilisateur ou la connexion n’a pas été activé pour Protection Microsoft Entra ID. Prend en charge $filter (eq). Note: Les détails de cette propriété sont disponibles uniquement pour les clients Microsoft Entra ID P2. Tous les autres clients sont retournés hidden. |
| riskState | riskState | État de risque d’un utilisateur à risque, d’une connexion ou d’un événement à risque. Valeurs possibles : none, confirmedSafe, remediated, dismissedatRisk, confirmedCompromised, ou unknownFutureValue. Prend en charge $filter (eq). |
| servicePrincipalCredentialKeyId | String | Identificateur unique des informations d’identification de clé utilisées par le principal de service pour l’authentification. |
| servicePrincipalCredentialThumbprint | String | Empreinte numérique du certificat utilisé par le principal de service pour l’authentification. |
| servicePrincipalId | String | Identificateur d’application utilisé pour la connexion. Ce champ est rempli lorsque vous vous connectez à l’aide d’une application. Prend en charge $filter (eq, startsWith). |
| servicePrincipalName | String | Nom de l’application utilisé pour la connexion. Ce champ est rempli lorsque vous vous connectez à l’aide d’une application. Prend en charge $filter (eq, startsWith). |
| sessionLifetimePolicies | collection sessionLifetimePolicy | Toutes les stratégies de gestion de session d’accès conditionnel qui ont été appliquées pendant l’événement de connexion. |
| signInEventTypes | String collection | Indique la catégorie de connexion que l’événement représente. Pour les connexions utilisateur, la catégorie peut être interactiveUser ou nonInteractiveUser et correspond à la valeur de la propriété isInteractive sur la ressource signin. Pour les connexions d’identité managée, la catégorie est managedIdentity. Pour les connexions du principal de service, la catégorie est servicePrincipal. Les valeurs possibles sont les suivantes : interactiveUser, nonInteractiveUser, servicePrincipal, managedIdentity, unknownFutureValue. Prend en charge $filter (eq, ne). |
| sessionId | String | Identificateur de la session qui a été générée pendant la connexion. |
| signInIdentifier | String | Identification fournie par l’utilisateur pour se connecter. Il peut s’agir de userPrincipalName, mais est également renseigné lorsqu’un utilisateur se connecte à l’aide d’autres identificateurs. |
| signInIdentifierType | signInIdentifierType | Type d’identificateur de connexion. Les valeurs possibles sont userPrincipalName, phoneNumber, proxyAddress, qrCode, onPremisesUserPrincipalName, unknownFutureValue. |
| signInTokenProtectionStatus | tokenProtectionStatus | La protection des jetons crée une liaison sécurisée du point de vue du chiffrement entre le jeton et l’appareil pour lequel il est émis. Ce champ indique si le jeton de connexion était lié à l’appareil ou non. Les valeurs possibles sont : none, bound, unbound, unknownFutureValue. |
| statut | signInStatus | La connexion status. Inclut le code d’erreur et la description de l’erreur (en cas d’échec de connexion). Prend en charge $filter (eq) sur la propriété errorCode . |
| tokenIssuerName | String | Nom du fournisseur d’identité. Par exemple : sts.microsoft.com. Prend en charge $filter (eq). |
| tokenIssuerType | tokenIssuerType | Type de fournisseur d’identité. Les valeurs possibles sont AzureAD, ADFederationServices, UnknownFutureValue, AzureADBackupAuth, ADFederationServicesMFAAdapter, NPSExtension. Vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir les valeurs suivantes dans cette énumération évolutive : AzureADBackupAuth , ADFederationServicesMFAAdapter , NPSExtension. |
| uniqueTokenIdentifier | String | Identificateur de requête encodé en base64 unique utilisé pour suivre les jetons émis par Microsoft Entra ID à mesure qu’ils sont échangés auprès des fournisseurs de ressources. |
| userAgent | String | Informations de l’agent utilisateur relatives à la connexion. Prend en charge $filter (eq, startsWith). |
| userDisplayName | String | Nom d’affichage de l’utilisateur. Prend en charge $filter (eq, startsWith). |
| userId | String | Identificateur de l’utilisateur. Prend en charge $filter (eq). |
| userPrincipalName | String | Nom d’utilisateur principal de l’utilisateur qui a lancé la connexion. Cette valeur est toujours en minuscules. Pour les utilisateurs invités dont les valeurs dans l’objet utilisateur contiennent #EXT# généralement avant la partie de domaine, cette propriété stocke la valeur en minuscules et au format « true ». Par exemple, pendant que l’objet utilisateur stocke AdeleVance_fabrikam.com#EXT#@contoso.com, les journaux de connexion stockent adelevance@fabrikam.com.Prend en charge $filter (eq, startsWith). |
| userType | signInUserType | Identifie si l’utilisateur est membre ou invité dans le locataire. Les valeurs possibles sont member, guest et unknownFutureValue. |
| mfaDetail (déconseillé) | mfaDetail | Cette propriété est déconseillée. |
Relations
Aucun
Représentation JSON
La représentation JSON suivante montre le type de ressource.
{
"@odata.type": "#microsoft.graph.signIn",
"appDisplayName": "String",
"appId": "String",
"authenticationContextClassReferences": [{"@odata.type": "microsoft.graph.authenticationContext"}],
"appliedConditionalAccessPolicies": [
{
"@odata.type": "microsoft.graph.appliedConditionalAccessPolicy"
}
],
"appliedEventListeners": [
{
"@odata.type": "microsoft.graph.appliedAuthenticationEventListener"
}
],
"appTokenProtectionStatus": {
"@odata.type": "microsoft.graph.tokenProtectionStatus"
},
"authenticationAppDeviceDetails": {
"@odata.type": "microsoft.graph.authenticationAppDeviceDetails"
},
"authenticationAppPolicyEvaluationDetails": [
{
"@odata.type": "microsoft.graph.authenticationAppPolicyDetails"
}
],
"authenticationDetails": [
{
"@odata.type": "microsoft.graph.authenticationDetail"
}
],
"authenticationMethodsUsed": [
"String"
],
"authenticationProcessingDetails": [
{
"@odata.type": "microsoft.graph.keyValue"
}
],
"authenticationRequirement": "String",
"authenticationRequirementPolicies": [
{
"@odata.type": "microsoft.graph.authenticationRequirementPolicy"
}
],
"autonomousSystemNumber": "Integer",
"azureResourceId": "String",
"clientAppUsed": "String",
"conditionalAccessStatus": "String",
"correlationId": "String",
"createdDateTime": "String (timestamp)",
"crossTenantAccessType": "String",
"deviceDetail": {
"@odata.type": "microsoft.graph.deviceDetail"
},
"federatedCredentialId": "String",
"flaggedForReview": "Boolean",
"id": "String (identifier)",
"homeTenantId": "String",
"homeTenantName": "String",
"isInteractive": "Boolean",
"isTenantRestricted": "Boolean",
"ipAddress": "String",
"ipAddressFromResourceProvider": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"mfaDetail": {
"@odata.type": "microsoft.graph.mfaDetail"
},
"networkLocationDetails": [
{
"@odata.type": "microsoft.graph.networkLocationDetail"
}
],
"originalRequestId": "String",
"originalTransferMethod": "String",
"privateLinkDetails": {
"@odata.type": "microsoft.graph.privateLinkDetails"
},
"processingTimeInMilliseconds": "Integer",
"riskDetail": "String",
"riskEventTypes_v2": [
"String"
],
"riskLevelAggregated": "String",
"riskLevelDuringSignIn": "String",
"riskState": "String",
"resourceDisplayName": "String",
"resourceId": "String",
"resourceTenantId": "String",
"servicePrincipalCredentialKeyId": "String",
"servicePrincipalCredentialThumbprint": "String",
"servicePrincipalId": "String",
"servicePrincipalName": "String",
"sessionId": "String",
"sessionLifetimePolicies": [{"@odata.type": "microsoft.graph.sessionLifetimePolicy"}],
"signInEventTypes": [
"String"
],
"signInIdentifier": "String",
"signInIdentifierType": "String",
"signInTokenProtectionStatus": "String",
"status": {
"@odata.type": "microsoft.graph.signInStatus"
},
"tokenIssuerName": "String",
"tokenIssuerType": "String",
"userAgent": "String",
"userDisplayName": "String",
"userId": "String",
"userPrincipalName": "String",
"userType": "String"
}